Kurzusleírás

Bevezetés

A OWASP tesztelési projekt feltárása

  • A tesztelés alapelvei
  • Tesztelési technikák
  • Biztonsági tesztkövetelmények levezetése
  • A fejlesztési és tesztelési munkafolyamatokba integrált biztonsági tesztek
  • Biztonsági teszt adatok elemzése és jelentése

Munka a OWASP tesztelési keretrendszerrel

  • 1. fázis: A fejlesztés megkezdése előtt
  • 2. fázis: meghatározás és tervezés során
  • 3. fázis: A fejlesztés során
  • 4. fázis: A telepítés során
  • 5. fázis: Karbantartás és üzemeltetés
  • Egy tipikus életciklus-tesztelési munkafolyamat
  • Behatolásvizsgálati módszertanok

A webalkalmazás biztonságának tesztelése

  • Bevezetés és célkitűzések
  • Információgyűjtés
  • Végezzen keresőmotor-felderítést és felderítést az információszivárgás miatt
  • Ujjlenyomat webszerver
  • Tekintse át a webszerver metafájlokat információszivárgás szempontjából
  • Felsorolja az alkalmazásokat a webszerveren
  • Tekintse át a weboldal tartalmát információszivárgás szempontjából
  • Azonosítsa az alkalmazás belépési pontjait
  • Végrehajtási útvonalak térképezése az alkalmazáson keresztül
  • Ujjlenyomat webalkalmazás keretrendszer
  • Ujjlenyomat webes alkalmazás
  • Térképalkalmazás architektúra
  • Konfiguráció- és telepítéskezelési tesztelés
  • Tesztelje a hálózat/infrastruktúra konfigurációját
  • Tesztelje az alkalmazásplatform konfigurációját
  • Tesztelje a fájlkiterjesztések kezelését érzékeny információkért
  • Tekintse át a régi, biztonsági másolatot és hivatkozás nélküli fájlokat bizalmas információkért
  • Sorolja fel az infrastruktúra és az alkalmazás adminisztrátori felületeit
  • Tesztelje a HTTP-módszereket
  • Tesztelje a HTTP szigorú szállítási biztonságát
  • Tesztelje a RIA tartományok közötti szabályzatát
  • Fájlengedély tesztelése
  • Tesztelje az aldomain átvételét
  • Tesztelje a felhőalapú tárolást

Identity Management Tesztelés

  • Tesztszerepmeghatározások
  • Tesztelje a felhasználói regisztrációs folyamatot
  • A fiók-kiépítési folyamat tesztelése
  • Fiókszámlálás és sejthető felhasználói fiók tesztelése
  • Gyenge vagy nem érvényesített felhasználónév-szabályzat tesztelése

Hitelesítési tesztelés

  • Titkosított csatornán átvitt hitelesítő adatok tesztelése
  • Az alapértelmezett hitelesítő adatok tesztelése
  • Gyenge reteszelő mechanizmus tesztelése
  • A hitelesítési séma megkerülésének tesztelése
  • Sebezhető jelszavak tesztelése
  • A böngésző gyorsítótárának gyengeségének tesztelése
  • Gyenge jelszóházirend tesztelése
  • Gyenge biztonsági kérdésre adott válasz tesztelése
  • Gyenge jelszómódosítási vagy visszaállítási funkciók tesztelése
  • Gyengébb hitelesítés tesztelése alternatív csatornán

Engedélyezési tesztelés

  • Tesztelési könyvtár bejárás/fájl tartalmazza
  • Az engedélyezési séma megkerülésének tesztelése
  • A jogosultságok kiterjesztésének tesztelése
  • Nem biztonságos közvetlen objektumhivatkozások tesztelése

Szekció Management Tesztelés

  • A munkamenet-kezelési séma tesztelése
  • A cookie-k attribútumainak tesztelése
  • A munkamenet rögzítésének tesztelése
  • Kitett munkamenet-változók tesztelése
  • Telephelyközi kérelem-hamisítás tesztelése
  • Kijelentkezési funkciók tesztelése
  • A tesztelési munkamenet időtúllépése
  • A munkamenet rejtélyes tesztelése
  • Munkamenet-eltérítés tesztelése

Bemeneti ellenőrzés tesztelése

  • A tükrözött, több webhelyen futó szkriptelés tesztelése
  • Tárolt webhelyek közötti szkriptek tesztelése
  • HTTP ige manipuláció tesztelése
  • HTTP paraméterek szennyezésének tesztelése
  • SQL injekció tesztelése
  • Tesztelés a Oracle számára
  • Tesztelés a MySQL számára
  • Tesztelés a SQL szerverhez
  • Tesztelés a PostgreSQL számára
  • MS tesztelése Access
  • NoSQL injekció tesztelése
  • ORM injekció tesztelése
  • Kliens oldali tesztelés
  • LDAP injekció tesztelése
  • XML injekció tesztelése
  • SSI befecskendezés tesztelése
  • XPath injekció tesztelése
  • IMAP/SMTP-injektálás tesztelése
  • Kódbefecskendezés tesztelése
  • Helyi fájlok felvételének tesztelése
  • Távoli fájlok felvételének tesztelése
  • Parancsinjektálás tesztelése
  • Formátum karakterlánc-injektálás tesztelése
  • Az inkubált sebezhetőség tesztelése
  • HTTP felosztás/csempészet tesztelése
  • HTTP bejövő kérések tesztelése
  • Gazdafejléc-injektálás tesztelése
  • Szerveroldali sablonbefecskendezés tesztelése
  • Szerveroldali kérelem-hamisítás tesztelése

Hibakezelés tesztelése

  • Nem megfelelő hibakezelés tesztelése
  • Veremnyomok tesztelése

Gyenge kriptográfia tesztelése

  • A gyenge szállítási réteg biztonságának tesztelése
  • Párnázás tesztelése Oracle
  • Titkosítatlan csatornákon küldött érzékeny információk tesztelése
  • Gyenge titkosítás tesztelése

Business Logikai tesztelés

  • Bevezetés az üzleti logikába
  • Tesztelje az üzleti logikai adatok érvényesítését
  • Tesztelje a kérések hamisításának képességét
  • Teszt integritás-ellenőrzések
  • Teszt a folyamat időzítésére
  • Tesztelje, hányszor használható egy függvény határértéke
  • A munkafolyamatok megkerülésének tesztelése
  • Tesztelje az alkalmazással való visszaélés elleni védelmet
  • Váratlan fájltípusok feltöltésének tesztelése
  • A rosszindulatú fájlok feltöltésének tesztelése

Ügyféloldali tesztelés

  • DOM-alapú, webhelyek közötti szkriptelés tesztelése
  • JavaSzkript végrehajtásának tesztelése
  • HTML injekció tesztelése
  • Ügyféloldali URL-átirányítás tesztelése
  • CSS injekció tesztelése
  • Kliensoldali erőforrás-manipuláció tesztelése
  • Eredeti forrásmegosztás tesztelése
  • Telephelyek közötti villogás tesztelése
  • Clickjacking tesztelése
  • WebSockets tesztelése
  • A webes üzenetküldés tesztelése
  • A böngésző tárhelyének tesztelése
  • Telephelyek közötti szkriptek felvételének tesztelése

API Testing

  • Tesztelés GraphQL

Jelentés

  • Bevezetés
  • Vezetői összefoglaló
  • Megállapítások
  • Mellékletek

Követelmények

    A webfejlesztés életciklusának általános ismerete Webes alkalmazások fejlesztésében, biztonságában és tesztelésében szerzett tapasztalat.

Közönség

    Fejlesztők Mérnökök Építészek
  21 Hours
 

Résztvevők száma


Tanfolyam kezdete

Tanfolyam vége


Dates are subject to availability and take place between 09:30 and 16:30.

Ár per résztvevő

Vélemények (1)

Rokon tanfolyam

CRISC - Certified in Risk and Information Systems Control

  21 Hours

Microsoft SDL Core

  14 Hours

Standard Java Security

  14 Hours

Java and Web Application Security

  21 Hours

Advanced Java Security

  21 Hours

Advanced Java, JEE and Web Application Security

  28 Hours

.NET, C# and ASP.NET Security Development

  14 Hours

Comprehensive C# and .NET Application Security

  21 Hours

Advanced C#, ASP.NET and Web Application Security

  21 Hours

Rokon kategóriák